Az App Service Azure-os biztonsági alapkonfigurációja
Ez a biztonsági alapkonfiguráció a Microsoft cloud security benchmark 1.0-s verziójának útmutatását alkalmazza a App Service. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a App Service vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A App Service nem alkalmazható funkciók ki lettek zárva. A App Service a Microsoft felhőbiztonsági teljesítménytesztjének teljes App Service biztonsági alapkonfiguráció-leképezési fájlban tekinthet meg.
Biztonsági profil
A biztonsági profil összefoglalja a App Service nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Számítás, web |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Virtual Network Integráció alapértelmezés szerint konfigurálva van App Service-környezetek használatakor, de manuálisan kell konfigurálni a nyilvános több-bérlős ajánlat használatakor.
Konfigurációs útmutató: Stabil IP-címet biztosítson az internetcímek felé irányuló kimenő kommunikációhoz: Stabil kimenő IP-címet adhat meg a Virtual Network integrációs funkcióval. Ez lehetővé teszi, hogy a fogadó fél engedélyezőlistát kapjon az IP-cím alapján, ha erre szükség van.
Ha App Service használ az elkülönített tarifacsomagban, más néven App Service Environment (ASE), közvetlenül üzembe helyezheti az Azure-Virtual Network egy alhálózatán. A Azure App Service-környezet védelméhez használjon hálózati biztonsági csoportokat a virtuális hálózat erőforrásaira irányuló bejövő és kimenő forgalom blokkolásával, vagy az App Service Environment alkalmazásokhoz való hozzáférésének korlátozásával.
A több-bérlős App Service (az alkalmazás nem izolált szinten) lehetővé teszi az alkalmazások számára, hogy az Virtual Network integrációs funkcióval vagy egy Virtual Network keresztül férhessenek hozzá az erőforrásokhoz. Ezután hálózati biztonsági csoportokkal szabályozhatja az alkalmazásból érkező kimenő forgalmat. Az integráció Virtual Network használatakor engedélyezheti az "Összes átirányítása" konfigurációt, hogy az összes kimenő forgalom hálózati biztonsági csoportoknak és felhasználó által megadott útvonalaknak legyen kitéve az integrációs alhálózaton. Ez a funkció arra is használható, hogy letiltsa a nyilvános címekre irányuló kimenő forgalmat az alkalmazásból. Virtual Network integráció nem használható alkalmazás bejövő elérésére.
Az Azure Services felé irányuló kommunikációhoz gyakran nem kell az IP-címtől függenie, és ehelyett olyan mechanikákat kell használni, mint a Szolgáltatásvégpontok.
Megjegyzés: A App Service-környezetek esetében a hálózati biztonsági csoportok alapértelmezés szerint egy implicit megtagadási szabályt tartalmaznak a legalacsonyabb prioritásnál, és explicit engedélyezési szabályokat kell hozzáadniuk. Adjon hozzá engedélyezési szabályokat a hálózati biztonsági csoporthoz a legkevésbé kiemelt hálózati megközelítés alapján. A App Service Environment üzemeltetéséhez használt mögöttes virtuális gépek nem érhetők el közvetlenül, mert Microsoft által felügyelt előfizetésben találhatók.
Ha Virtual Network integrációs funkciót használ ugyanabban a régióban lévő virtuális hálózatokkal, használjon hálózati biztonsági csoportokat és útvonaltáblákat felhasználó által megadott útvonalakkal. A felhasználó által megadott útvonalak elhelyezhetők az integrációs alhálózaton, hogy a kimenő forgalmat a kívánt módon küldjék el.
Referencia: Alkalmazás integrálása Azure-beli virtuális hálózattal
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: A hálózati biztonsági csoport támogatása minden olyan ügyfél számára elérhető, aki App Service-környezeteket használ, de csak a nyilvános több-bérlős ajánlattal rendelkező ügyfelek számára elérhető virtuális hálózattal integrált alkalmazásokban.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: App Service Environment hálózatkezelés
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Web Apps privát végpontjaival engedélyezheti, hogy a magánhálózaton található ügyfelek biztonságosan elérhessék az alkalmazásokat Private Link keresztül. A privát végpont az Azure-beli virtuális hálózat címtartományban lévő IP-címet használ. A magánhálózaton lévő ügyfél és a webalkalmazás közötti hálózati forgalom áthalad a virtuális hálózaton és egy Private Link a Microsoft gerinchálózatán, így kiküszöböli a nyilvános internetről való kitettséget.
Megjegyzés: A privát végpont csak a webalkalmazásba irányuló bejövő folyamatokhoz használható. A kimenő folyamatok ezt a privát végpontot nem fogják használni. A kimenő folyamatokat egy másik alhálózaton is beszúrhatja a hálózatba a virtuális hálózatok integrációs funkciójával. A privát végpontok használata a szolgáltatásokhoz a App Service forgalom fogadó végén, elkerüli az SNAT-t, és stabil kimenő IP-tartományt biztosít.
További útmutatás: Ha tárolókat futtat az Azure Container Registry (ACR)-ben tárolt App Service, győződjön meg arról, hogy ezek a rendszerképek magánhálózaton vannak lekért állapotban. Ehhez konfiguráljon egy privát végpontot az ACR-ben, amely ezeket a képeket a "WEBSITE_PULL_IMAGE_OVER_VNET" alkalmazásbeállítás beállításával együtt tárolja a webalkalmazásban.
Referencia: Privát végpontok használata az Azure Web Apphoz
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést szolgáltatásszintű IP ACL-szűrési szabályokkal vagy privát végpontokkal, vagy állítsa a tulajdonságot letiltásra az publicNetworkAccess ARM-ben.
Referencia: Azure App Service hozzáférési korlátozások beállítása
NS-5: DDOS-védelem üzembe helyezése
Egyéb útmutató az NS-5-höz
Engedélyezze a DDOS Protection Standardot a App Service Web Application Firewall üzemeltető virtuális hálózaton. Az Azure DDoS Alapszintű védelmet biztosít a hálózatán, amelyet az intelligens DDoS Standard képességekkel lehet továbbfejleszteni, amelyek a normál forgalmi mintákkal ismerkednek meg, és észlelik a szokatlan viselkedést. A DDoS Standard egy Virtual Network vonatkozik, ezért az alkalmazás előtt konfigurálva kell lennie a hálózati erőforráshoz, például Application Gateway vagy NVA-hoz.
NS-6: Webalkalmazási tűzfal üzembe helyezése
Egyéb útmutató az NS-6-hoz
Kerülje a WAF megkerülését az alkalmazások esetében. Győződjön meg arról, hogy a WAF nem megkerülhető, ha zárolja a hozzáférést csak a WAF-hez. Használja a hozzáférési korlátozások, a szolgáltatásvégpontok és a privát végpontok kombinációját.
Emellett védheti a App Service Environment, ha a forgalmat egy Web Application Firewall (WAF) engedélyezett Azure Application Gateway vagy az Azure Front Dooron keresztül irányítja.
A több-bérlős ajánlat esetében a következőkkel biztonságossá teheti az alkalmazás bejövő forgalmát:
- Hozzáférési korlátozások: a bejövő hozzáférést szabályozó engedélyezési vagy megtagadási szabályok sorozata
- Szolgáltatásvégpontok: letilthatják a bejövő forgalmat a megadott virtuális hálózatokon vagy alhálózatokon kívülről
- Privát végpontok: tegye elérhetővé az alkalmazást a Virtual Network egy privát IP-címmel. Ha az alkalmazásban engedélyezve van a privát végpontok, az már nem érhető el az interneten
Fontolja meg egy Azure Firewall központi létrehozására, kikényszerítésére és naplózására az alkalmazás- és hálózati kapcsolati szabályzatokat az előfizetésekben és a virtuális hálózatokban. Azure Firewall statikus nyilvános IP-címet használ a virtuális hálózati erőforrásokhoz, amely lehetővé teszi a külső tűzfalak számára a virtuális hálózatból származó forgalom azonosítását.
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hitelesített webalkalmazások esetén csak jól ismert identitásszolgáltatókat használjon a felhasználói hozzáférés hitelesítéséhez és engedélyezéséhez. Abban az esetben, ha az alkalmazást csak a saját szervezete felhasználói érhetik el, vagy ha a felhasználók mindegyike az Azure Active Directoryt (Azure AD) használja, konfigurálja a Azure AD alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: Hitelesítés és engedélyezés Azure App Service és Azure Functions
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Korlátozza a helyi hitelesítési módszerek használatát az adatsík-hozzáféréshez. Ehelyett használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként az adatsík-hozzáférés vezérléséhez.
Referencia: Hitelesítés és engedélyezés Azure App Service és Azure Functions
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, elkerülve a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat.
A felügyelt identitások App Service való használatához gyakori forgatókönyv más Azure PaaS-szolgáltatások, például Azure SQL Database, Azure Storage vagy Key Vault elérése.
Referencia: Felügyelt identitások használata App Service és Azure Functions
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
További útmutatás: Bár a szolgáltatásnéveket a szolgáltatás mintaként támogatja a hitelesítéshez, javasoljuk, hogy a felügyelt identitásokat használja, ahol csak lehetséges.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Web:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| App Service alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Letiltva | 3.0.0 |
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésének megfelelő feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Győződjön meg arról, hogy az alkalmazás titkos kódjai és hitelesítő adatai biztonságos helyeken, például az Azure Key Vault vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták volna őket. Az alkalmazás felügyelt identitásának használatával biztonságos módon férhet hozzá a Key Vault tárolt hitelesítő adatokhoz vagy titkos kódokhoz.
Hivatkozás: Key Vault hivatkozások használata App Service és Azure Functions
Emelt szintű hozzáférés
További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélzárolás segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Implementálja a Credential Scannert a buildfolyamatban a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Bár az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el App Service, csökkentheti a virtuális hálózat adatkiszivárgási kockázatát az összes olyan szabály eltávolításával, amelyben a cél "címkét" használ az internethez vagy az Azure-szolgáltatásokhoz.
A Microsoft kezeli a App Service mögöttes infrastruktúráját, és szigorú ellenőrzéseket vezetett be az adatok elvesztésének vagy kitettségének megelőzése érdekében.
Címkék segítségével nyomon követheti App Service bizalmas adatokat tároló vagy feldolgozó erőforrásokat.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A TLS/SSL-beállításokban konfigurált TLS v1.2 alapértelmezett minimális verziójának használata és kényszerítése az összes átvitt információ titkosításához. Győződjön meg arról is, hogy az összes HTTP-kapcsolatkérés HTTPS-ra lesz átirányítva.
Referencia: TLS-/SSL-tanúsítvány hozzáadása Azure App Service
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Web:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| App Service alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, letiltva, megtagadás | 4.0.0 |
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Az App Service-alkalmazások webhelytartalmai, például a fájlok az Azure Storage-ban vannak tárolva, amely automatikusan titkosítja az inaktív tartalmakat. Válassza ki, hogy az alkalmazás titkos kódokat Key Vault tárolja, és futásidőben lekéri őket.
Az ügyfél által megadott titkos kulcsok inaktív állapotban vannak titkosítva, miközben App Service konfigurációs adatbázisokban vannak tárolva.
Vegye figyelembe, hogy míg a helyileg csatlakoztatott lemezeket a webhelyek ideiglenes tárolóként is használhatják (például D:\local és %TMP%), ezek csak a nyilvános több-bérlős App Service ajánlatban vannak titkosítva, ahol a Pv3 termékváltozat használható. Az olyan régebbi nyilvános több-bérlős méretezési egységek esetében, ahol a Pv3 termékváltozat nem érhető el, az ügyfélnek létre kell hoznia egy új erőforráscsoportot, és ott újra üzembe kell helyeznie az erőforrásait.
Emellett az ügyfélnek lehetősége van az alkalmazás futtatására App Service közvetlenül egy ZIP-csomagból. További információ: Az alkalmazás futtatása Azure App Service közvetlenül ZIP-csomagból.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
Megjegyzés: Az App Service-alkalmazások webhelytartalmai, például a fájlok az Azure Storage-ban vannak tárolva, amely automatikusan titkosítja az inaktív tartalmakat. Válassza ki, hogy az alkalmazás titkos kódokat Key Vault tárolja, és futásidőben lekéri őket.
Az ügyfél által megadott titkos kulcsok inaktív állapotban vannak titkosítva, miközben App Service konfigurációs adatbázisokban vannak tárolva.
Vegye figyelembe, hogy míg a helyileg csatlakoztatott lemezeket a webhelyek ideiglenes tárolóként is használhatják (például D:\local és %TMP%), a rendszer nem titkosítja őket inaktív állapotban.
Referencia: Inaktív titkosítás ügyfél által felügyelt kulcsokkal
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.
Hivatkozás: Key Vault hivatkozások használata App Service és Azure Functions
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: App Service SSL/TLS és más tanúsítványokkal konfigurálható, amelyek közvetlenül a App Service konfigurálhatók, vagy hivatkozhatnak Key Vault. Az összes tanúsítvány és titkos kód központi felügyeletének biztosítása érdekében a App Service által használt tanúsítványokat a Key Vault tárolja, ahelyett, hogy közvetlenül App Service üzembe helyezte volna őket. Ha ezt konfigurálja, App Service automatikusan letölti a legújabb tanúsítványt az Azure Key Vault. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vault egy meghatározott ütemezés vagy tanúsítvány lejárata alapján.
Referencia: TLS-/SSL-tanúsítvány hozzáadása Azure App Service
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
Megjegyzés: Szabványos biztonsági konfigurációk definiálása és implementálása a App Service üzembe helyezett alkalmazásokhoz Azure Policy. A "Microsoft.Web" névtérben beépített Azure Policy definíciók, valamint Azure Policy aliasok használatával hozhat létre egyéni szabályzatokat a rendszerkonfigurációk riasztásához, naplózásához és kikényszerítéséhez. Szabályzatkiválások kezelésére szolgáló folyamat és folyamat fejlesztése.
Referencia: Azure Policy szabályozási megfelelőségi vezérlők Azure App Service
AM-4: Az eszközkezeléshez való hozzáférés korlátozása
Egyéb útmutató az AM-4-hez
A bizalmas adatokat feldolgozó rendszerek elkülönítése. Ehhez használjon különálló App Service-csomagokat vagy App Service-környezeteket, és fontolja meg a különböző előfizetések vagy felügyeleti csoportok használatát.
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A App Service Microsoft Defender használatával azonosíthatja a App Service futó alkalmazásokat célzó támadásokat. Ha engedélyezi Microsoft Defender App Service számára, azonnal élvezheti a Defender-csomag által kínált alábbi szolgáltatásokat:
Biztonságos: A Defender for App Service felméri a App Service-terv által lefedett erőforrásokat, és biztonsági javaslatokat hoz létre annak megállapításai alapján. A javaslatokban található részletes utasítások segítségével megerősítheti App Service erőforrásait.
Észlelés: A Defender for App Service számos fenyegetést észlel a App Service-erőforrásokra nézve. Ehhez figyeli a virtuálisgép-példányt, amelyen a App Service fut, valamint annak felügyeleti felületét, a App Service-alkalmazásokba, a mögöttes tesztkörnyezetekbe és virtuális gépekre küldött kéréseket és válaszokat, valamint App Service belső naplókat.
Referencia: Webalkalmazások és API-k védelme
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a webalkalmazásokhoz App Service.
Referencia: Diagnosztikai naplózás engedélyezése alkalmazásokhoz a Azure App Service
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: A helyzet és a biztonságirés-kezelés.
PV-2: Biztonságos konfigurációk naplózása és kényszerítése
Egyéb útmutató a PV-2-hez
Kapcsolja ki a távoli hibakeresést, a távoli hibakeresés nem kapcsolható be éles számítási feladatok esetén, mivel ez további portokat nyit meg a szolgáltatáson, amelyek növelik a támadási felületet.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Web:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezve kell lennie az "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" beállításnak | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérelmekhez. Csak érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a házirendet egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
PV-7: Rendszeres vörös csapatműveletek végrehajtása
Egyéb útmutató a PV-7-hez
Végezzen rendszeres behatolási tesztet a webalkalmazásokon a behatolástesztelési szabályok betartásával.
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ahol lehetséges, implementáljon állapot nélküli alkalmazástervezést, hogy egyszerűbbé tegye a helyreállítási és biztonsági mentési forgatókönyveket App Service.
Ha valóban fenn kell tartania egy állapotalapú alkalmazást, engedélyezze a Biztonsági mentés és visszaállítás funkciót a App Service, amely lehetővé teszi az alkalmazások biztonsági mentésének manuális vagy ütemezés szerinti létrehozását. Beállíthatja, hogy a biztonsági másolatok akár határozatlan ideig is megőrizhetők legyenek. Az alkalmazást visszaállíthatja egy korábbi állapot pillanatképére a meglévő alkalmazás felülírásával vagy egy másik alkalmazásba való visszaállítással. Győződjön meg arról, hogy a rendszeres és automatikus biztonsági mentések a szervezeti szabályzatok által meghatározott gyakorisággal történnek.
Megjegyzés: App Service biztonsági másolatot készíthet a következő adatokról egy Azure Storage-fiókba és -tárolóba, amelyet az alkalmazás használatára konfigurált:
- Alkalmazáskonfiguráció
- Fájl tartalma
- Az alkalmazáshoz csatlakoztatott adatbázis
Referencia: Alkalmazás biztonsági mentése az Azure-ban
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem Azure Backup). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DevOps-biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: DevOps-biztonság.
DS-6: A számítási feladatok biztonságának kényszerítése a DevOps életciklusa során
Egyéb útmutató a DS-6-hoz
Kódot telepíthet App Service ellenőrzött és megbízható környezetből, például egy jól felügyelt és biztonságos DevOps-üzembehelyezési folyamatból. Ezzel elkerülheti azokat a kódot, amelyek verziókövetése és ellenőrzése nem történt meg egy rosszindulatú gazdagépről való üzembe helyezéshez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről